해시값은 어떤 데이터든 해시 함수(SHA-256 등)를 거치면 출력되는 일정 길이의 고유 문자열로, 디지털 파일의 '지문'에 해당합니다. 원본에서 단 1비트만 바뀌어도 완전히 다른 값이 나오기 때문에, 압수된 원본과 분석용 사본의 해시값이 일치하면 증거가 위·변조 없이 유지되었다는 무결성이 입증됩니다. 성범죄 사건에서 디지털 증거의 동일성·무결성 입증을 뒷받침하는 기술적 토대입니다. 다만 해시값 일치가 곧바로 압수·수색 절차의 적법성까지 보장하는 것은 아닙니다.
디지털 증거는 복사와 수정이 쉬워, 수사기관이 확보한 파일이 조금이라도 변경되었다면 그 신뢰성 전체에 의문이 제기됩니다. 해시값은 이 문제를 해결하는 장치입니다. 압수·이미징 단계에서 가능한 경우 원본 저장매체나 추출 대상의 해시값을 기록하고, 사본·추출물의 해시값과 비교해 일치하면 "분석에 사용된 자료가 원본과 동일하다"는 것이 수학적으로 매우 높은 확률로 증명됩니다. 해시값은 원본 저장매체 전체, 포렌식 이미지 파일, 개별 추출 파일 등 산출 대상에 따라 의미가 달라지며, 특히 스마트폰 포렌식에서는 전체 물리 이미징이 제한되는 경우가 있어 어떤 대상의 해시값을 언제 산출했는지 확인하는 것이 중요합니다.
이 절차는 양쪽 모두에게 의미가 있습니다. 입증하는 쪽에서는 촬영물·대화 기록 같은 핵심 증거의 객관성을 뒷받침하는 근거가 되고, 방어하는 쪽에서는 해시값 비교 절차가 누락되었거나 기록이 부실한 경우 "수사 과정에서 증거가 오염·변조되었을 가능성을 배제할 수 없다"며 증거능력을 탄핵하는 지점이 됩니다. 실제로 해시값 확인 절차의 하자를 이유로 디지털 증거의 증거능력이 배척된 하급심 사례들이 보고되어 있습니다.
핵심 특성은 네 가지입니다. 일방향성 — 해시값만으로 원본 데이터를 복원할 수 없습니다. 결정성 — 같은 데이터는 언제 누가 계산해도 같은 값이 나옵니다. 눈사태 효과 — 1비트만 바뀌어도 값이 완전히 달라져 미세한 변조도 탐지됩니다. 충돌 저항성 — 서로 다른 데이터가 같은 값을 가질 확률이 극히 낮아, 실무에서는 해시값이 같으면 내용도 동일하다고 평가합니다. 알고리즘 중 MD5·SHA-1은 충돌 취약점이 발견되어 단독 사용이 지양되는 추세이고, 현재는 SHA-256 등 검증된 알고리즘 사용이 권장됩니다.
해시값은 불법촬영물의 유통 차단에도 활용됩니다. 전기통신사업법 제22조의5는 일정 규모 이상의 부가통신사업자에게 불법촬영물 유통 방지를 위한 기술적·관리적 조치 의무를 부과하는데, 실무에서는 확인된 불법촬영물의 해시값으로 데이터베이스를 구축하고, 업로드되는 영상의 해시값과 비교해 일치하면 유통을 차단하는 필터링 방식이 널리 쓰입니다. 피해자 입장에서는 피해 확산을 막는 기술적 안전망이 되는 셈입니다. 한편 수사·재판에서는 대법원 2017. 9. 21. 선고 2015도12400 판결 등이 저장매체를 옮겨 복제·탐색하는 과정에서도 참여권 보장과 적절한 절차를 요구하고 있어, 해시값 확인은 단순한 기술 절차가 아니라 적법절차 원칙을 실현하는 법적 절차로 평가됩니다.
해시값은 기술적 도구이지만, 법정에서는 그 절차적 운용이 다투어지는 법적 쟁점이 됩니다. 실무에서 가장 빈번한 다툼은 해시값 기록의 시점에 관한 것입니다. 압수 현장에서 원본 해시값을 즉시 산출하여 기록했는지, 아니면 수사기관으로 이송한 뒤 사후적으로 산출했는지에 따라 그 사이 구간에서 데이터 변조 가능성이 제기될 수 있습니다. 또한 해시값 산출에 사용된 알고리즘의 종류, 산출 과정에 피의자 측의 참여가 보장되었는지 여부도 쟁점이 됩니다. 방어 측은 해시값 기록이 포함된 압수조서와 이미징 보고서를 열람하여 산출 시점, 알고리즘, 참여권 보장 여부를 확인하고, 하자가 있는 경우 해당 디지털 증거 전체의 증거능력을 다투는 전략을 취할 수 있습니다.
Q. 해시값이 왜 '디지털 지문'이라고 불리나요? 파일마다 사실상 고유한 값이 나오고, 내용이 한 글자만 바뀌어도 값이 완전히 달라지기 때문입니다. 두 파일의 해시값이 같으면 내용도 동일하다고 평가되므로, 사람의 지문처럼 데이터의 동일성을 식별하는 수단이 됩니다.
Q. 해시값 비교 절차를 거치지 않은 디지털 증거는 어떻게 되나요? 원본과 사본의 동일성 입증이 어려워져 증거능력을 인정받지 못할 위험이 커집니다. 특히 사건의 핵심이 되는 파일이라면, 수사 과정에서 오염·변조 가능성을 배제하기 어렵다고 평가될 수 있어 방어 측의 주요 탄핵 지점이 됩니다.
Q. 모든 해시 알고리즘이 똑같이 인정되나요? 그렇지 않습니다. MD5·SHA-1은 충돌 취약점이 보고되어 단독으로 무결성을 입증하는 용도로는 부적절하다는 견해가 많고, 현재 실무에서는 SHA-256 등 보안성이 검증된 알고리즘의 사용이 일반적으로 권장됩니다.
Q. 일반인도 파일의 해시값을 확인할 수 있나요? 가능합니다. 무료로 제공되는 해시값 계산 프로그램을 이용하면 누구나 파일의 해시값을 확인할 수 있어, 중요한 파일을 주고받을 때 변조 여부를 스스로 점검하는 데에도 활용할 수 있습니다.
Q. 해시값이 일치하면 증거의 적법성까지 인정되는 것인가요? 그렇지 않습니다. 해시값 일치는 원본과 사본의 데이터가 동일하다는 무결성을 증명할 뿐, 해당 증거의 수집 절차가 적법했는지는 별개의 문제입니다. 영장 범위를 넘은 압수, 참여권 미보장, 별건 탐색 등 절차적 위법이 있다면 해시값이 일치하더라도 위법수집증거로서 증거능력이 부정될 수 있으므로, 무결성과 적법성은 구분하여 점검해야 합니다.